문자열 칼럼에 광고 html을 삽입하고 있습니다.
칼럼 UPDATE시 <title>~~ 을 포함한 쿼리 실행내역을 조회하는데 안나오는거 보면 업데이트 하고
로그를 삭제하고 갔다고 볼수 있나요???
DB를 최소실행권한으로 실행되도록 설정하고 adminstrator 사용안하는걸로 하고, sa 사용안함으로 설정하고 이름 바꿧습니다..
다른거 막을 거 있을까요???
Comment 1
-
초짜해커
2014.10.27 12:57
문자열 칼럼에 광고 html을 삽입하고 있습니다.
칼럼 UPDATE시 <title>~~ 을 포함한 쿼리 실행내역을 조회하는데 안나오는거 보면 업데이트 하고
로그를 삭제하고 갔다고 볼수 있나요???
DB를 최소실행권한으로 실행되도록 설정하고 adminstrator 사용안하는걸로 하고, sa 사용안함으로 설정하고 이름 바꿧습니다..
다른거 막을 거 있을까요???
2014.10.27 12:57
어떤 로그를 말씀하시는지...
SQL Error 로그라면 해커가 임의로 삭제하긴 힘들겁니다.
저같은 초짜해커라면 더더욱 ㅋㅋ
일단 생각나는 거라면
SQL Service Port를 바꿔보시구요.
어쩐지 SQL 인젝션일거 같은데
인젝션 방어코드로 변경하셔야 할거 같습니다.